Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch mới lợi dụng các kho lưu trữ Python trên GitHub để phát tán một loại Trojan truy cập từ xa (RAT) dựa trên JavaScript chưa từng được ghi nhận trước đây, có tên là PyStoreRAT.
"Các kho lưu trữ này, thường được ngụy trang dưới dạng tiện ích phát triển hoặc công cụ OSINT, chỉ chứa vài dòng mã chịu trách nhiệm âm thầm tải xuống một tệp HTA từ xa và thực thi nó thông qua 'mshta.exe'," nhà nghiên cứu Yonatan Edri của Morphisec cho biết trong một báo cáo chia sẻ với The Hacker News.
PyStoreRAT được mô tả là một implant "đa giai đoạn, mô-đun" có khả năng thực thi các mô-đun EXE, DLL, PowerShell, MSI, Python, JavaScript và HTA. Mã độc này cũng triển khai một công cụ đánh cắp thông tin được gọi là Rhadamanthys làm payload tiếp theo.
Chuỗi tấn công liên quan đến việc phân phối mã độc thông qua các đoạn mã loader Python hoặc JavaScript được nhúng trong các kho lưu trữ GitHub ngụy trang thành công cụ OSINT, bot DeFi, GPT wrapper và các tiện ích liên quan đến bảo mật được thiết kế để thu hút các nhà phân tích và nhà phát triển.
Những dấu hiệu sớm nhất của chiến dịch này bắt nguồn từ giữa tháng 6 năm 2025, với một loạt "kho lưu trữ" được công bố đều đặn kể từ đó. Các công cụ này được quảng bá qua các nền tảng mạng xã hội như YouTube và X, cũng như tăng cường giả mạo các chỉ số ngôi sao và fork của kho lưu trữ – một kỹ thuật gợi nhớ đến Stargazers Ghost Network.
Các tác nhân đe dọa đằng sau chiến dịch này sử dụng các tài khoản GitHub mới được tạo hoặc những tài khoản đã không hoạt động trong nhiều tháng để xuất bản các kho lưu trữ, lén lút đưa payload độc hại dưới dạng các commit "bảo trì" vào tháng 10 và tháng 11 sau khi các công cụ bắt đầu phổ biến và lọt vào danh sách xu hướng hàng đầu của GitHub.
Trên thực tế, nhiều công cụ không hoạt động như được quảng cáo, chỉ hiển thị các menu tĩnh hoặc giao diện không tương tác trong một số trường hợp, trong khi những công cụ khác thực hiện các thao tác giữ chỗ tối thiểu. Mục đích đằng sau hoạt động này là tạo ra một vẻ ngoài hợp pháp bằng cách lạm dụng sự tin cậy vốn có của GitHub và lừa người dùng thực thi đoạn mã loader chịu trách nhiệm khởi tạo chuỗi lây nhiễm.
Điều này kích hoạt hiệu quả việc thực thi một payload HTML Application (HTA) từ xa, đến lượt nó sẽ phân phối mã độc PyStoreRAT, đi kèm với các khả năng để lập hồ sơ hệ thống, kiểm tra quyền quản trị viên và quét hệ thống để tìm các tệp liên quan đến ví tiền điện tử, đặc biệt là những tệp liên quan đến Ledger Live, Trezor, Exodus, Atomic, Guarda và BitBox02.
Đoạn mã loader thu thập danh sách các sản phẩm antivirus đã cài đặt và kiểm tra các chuỗi khớp với "Falcon" (ám chỉ CrowdStrike Falcon) hoặc "Reason" (ám chỉ Cybereason hoặc ReasonLabs) có khả năng là một nỗ lực để giảm khả năng bị phát hiện. Trong trường hợp chúng bị phát hiện, nó sẽ khởi chạy "mshta.exe" thông qua "cmd.exe." Nếu không, nó sẽ tiến hành thực thi "mshta.exe" trực tiếp.
Khả năng duy trì truy cập đạt được bằng cách thiết lập một scheduled task được ngụy trang dưới dạng tự động cập nhật ứng dụng NVIDIA. Ở giai đoạn cuối, mã độc liên hệ với một máy chủ bên ngoài để lấy các lệnh sẽ được thực thi trên máy chủ. Một số lệnh được hỗ trợ được liệt kê dưới đây:
- Tải xuống và thực thi các payload EXE, bao gồm Rhadamanthys
- Tải xuống và giải nén các tệp nén ZIP
- Tải xuống một DLL độc hại và thực thi nó bằng "rundll32.exe"
- Lấy mã JavaScript thô và thực thi nó động trong bộ nhớ bằng cách sử dụng eval()
- Tải xuống và cài đặt các gói MSI
- Tạo một tiến trình "mshta.exe" thứ cấp để tải thêm các payload HTA từ xa
- Thực thi các lệnh PowerShell trực tiếp trong bộ nhớ
- Lây lan qua các ổ đĩa di động bằng cách thay thế các tài liệu hợp pháp bằng các tệp Windows Shortcut (LNK) độc hại
- Xóa scheduled task để loại bỏ dấu vết điều tra pháp lý
Hiện tại vẫn chưa biết ai đứng đằng sau hoạt động này, nhưng sự hiện diện của các artifact tiếng Nga và các mẫu mã hóa cho thấy một tác nhân đe dọa có khả năng đến từ Đông Âu, Morphisec cho biết.
"PyStoreRAT đại diện cho một sự thay đổi hướng tới các implant mô-đun, dựa trên script có thể thích nghi với các biện pháp kiểm soát bảo mật và phân phối nhiều định dạng payload," Edri kết luận. "Việc sử dụng HTA/JS cho execution, Python loaders cho delivery, và Falcon-aware evasion logic tạo ra một chỗ đứng ẩn danh giai đoạn đầu mà các giải pháp EDR truyền thống detect chỉ late in the infection chain."
Phát hiện mã độc SetcodeRat nhắm mục tiêu khu vực nói tiếng Trung
Thông tin được tiết lộ khi nhà cung cấp bảo mật Trung Quốc QiAnXin đã công bố chi tiết về một loại Trojan truy cập từ xa (RAT) mới khác có tên mã SetcodeRat, có khả năng đang được phát tán trên khắp đất nước kể từ tháng 10 năm 2025 thông qua các quảng cáo độc hại (malvertising). Hàng trăm máy tính, bao gồm cả những máy thuộc về chính phủ và doanh nghiệp, được cho là đã bị nhiễm trong vòng một tháng.
"Gói cài đặt độc hại sẽ kiểm tra khu vực của nạn nhân trước," Trung tâm Tình báo Đe dọa của QiAnXin cho biết. "Nếu không phải là khu vực nói tiếng Trung, nó sẽ tự động thoát."
Mã độc được ngụy trang dưới dạng các trình cài đặt hợp pháp cho các chương trình phổ biến như Google Chrome và chỉ chuyển sang giai đoạn tiếp theo nếu ngôn ngữ hệ thống tương ứng với Trung Quốc Đại lục (Zh-CN), Hồng Kông (Zh-HK), Ma Cao (Zh-MO) và Đài Loan (Zh-TW). Nó cũng chấm dứt thực thi nếu kết nối đến một URL Bilibili ("api.bilibili[.]com/x/report/click/now") không thành công.
Ở giai đoạn tiếp theo, một tệp thực thi có tên "pnm2png.exe" được khởi chạy để sideload "zlib1.dll," sau đó giải mã nội dung của một tệp có tên "qt.conf" và chạy nó. Payload đã giải mã là một DLL nhúng payload RAT. SetcodeRat có thể kết nối với Telegram hoặc một máy chủ command-and-control (C2) thông thường để truy xuất lệnh và thực hiện hành vi đánh cắp dữ liệu.
Nó cho phép mã độc chụp ảnh màn hình, ghi lại thao tác gõ phím (log keystrokes), đọc thư mục, thiết lập thư mục, khởi chạy tiến trình, chạy "cmd.exe," thiết lập kết nối socket, thu thập thông tin hệ thống và kết nối mạng, tự cập nhật lên phiên bản mới.
